Determine mudanças de estado da interface IRB da interface L2 local ou status de conectividade remota em malhas EVPN
Para fornecer serviços habilitados para BGP de forma confiável, os dispositivos de borda (PE) do provedor em uma rede EVPN precisam detectar quando experimentam condições de isolamento da rede e atualizar os status da interface de acordo.
Você pode garantir que os dispositivos de borda (PE) do provedor em uma malha EVPN considerem ambos os seguintes fatores ao determinar o estado de uma interface de roteamento e ponte integrada (IRB) de Camada 3 (L3):
-
Os estados de interface L2 locais associados
-
A acessibilidade remota do dispositivo PE
Fatores para determinar o estado de uma interface IRB
Em um ambiente integrado de roteamento e ponte, quando você aloca interfaces L3, essas interfaces abrangem um domínio L2 (também chamado de domínio de ponte ou domínio de ponte). O domínio L2 pode abranger várias portas físicas ou lógicas em sua configuração. O dispositivo geralmente determina o estado da interface L3 (para cima ou para baixo) com base no estado do domínio L2 correspondente. O dispositivo define o estado de domínio L2 com base no status das portas no domínio L2 da seguinte forma:
-
O domínio L2 está em alta se o dispositivo detectar que pelo menos uma das portas associadas está ativa.
-
O domínio L2 está desativado se o dispositivo detectar que todas as portas associadas estão para baixo.
Quando o estado de domínio L2 muda, o dispositivo precisa atualizar o estado operacional da interface L3 também para que o dispositivo possa refletir o estado dos protocolos da camada superior de acordo.
O protocolo EVPN oferece um plano de controle integrado com diferentes opções de plano de dados (como VXLAN ou MPLS). Em um ambiente EVPN:
-
Os domínios L2 podem abranger vários PEs em um data center e abranger data centers.
-
Um dispositivo pode oferecer suporte a serviços L2 e L3 nas mesmas interfaces.
-
Um domínio de ponte ou VLAN pode incluir uma combinação de interfaces físicas locais e, no caso de malhas EVPN-VXLAN, endpoints remotos de túnel VXLAN (VTEPs).
Como resultado, os dispositivos PE em uma malha EVPN devem considerar os seguintes fatores ao determinar o estado das interfaces IRB associadas a um domínio de ponte ou uma VLAN em uma instância EVPN (EVI):
-
Os estados das portas ou interfaces L2 locais subjacentes.
-
Acessibilidade de dispositivos de borda de provedor remoto (PE), com base na disponibilidade de rotas para VTEPs remotos e no estado de isolamento de rede do domínio da ponte ou do EVI.
Uma condição de isolamento de rede em uma rede EVPN é semelhante a uma condição de isolamento do núcleo (isolamento da rede núcleo EVPN). Quando um dispositivo detecta uma condição de isolamento do núcleo, ele implementa ações padrão para derrubar as interfaces de membro L2 nos grupos de agregação de links (LAGs) afetados pelo Identificador de Segmentos Ethernet (ESI).
Em contraste, com as condições de isolamento da rede, você pode configurar um perfil de isolamento de rede e anexar esse perfil a um domínio de ponte, VLAN ou instância de roteamento. O perfil define os parâmetros que você deseja que o dispositivo use para detectar mudanças na condição de isolamento da rede que afetam as interfaces IRB associadas. Uma ação de isolamento de núcleo pode afetar o estado de isolamento da rede das interfaces IRB se a ação levar as interfaces L2 subjacentes para cima ou para baixo.
Para obter mais informações sobre o comportamento padrão de isolamento do núcleo, veja Entenda quando desativar o isolamento de núcleo EVPN-VXLAN.
Outro fator que indica que um domínio de ponte, VLAN ou EVI está isolado em uma rede EVPN-VXLAN é quando o dispositivo não tem uma rota para um VTEP remoto. Quando o dispositivo envia tráfego em um domínio de ponte ou VLAN, ele também precisa enviar o tráfego nos túneis VXLAN para os VTEPs remotos no domínio da ponte ou VLAN.
As próximas seções descrevem os parâmetros que você pode personalizar para que o dispositivo use esses fatores para determinar o estado de uma interface IRB com EVPN-VXLAN.
Definir a interface local L2 e o status de alcance remoto dos dispositivos usados para determinar o estado da interface IRB
Os dispositivos PE podem usar o status de interfaces L2 locais associadas ou acessibilidade de dispositivos de borda de provedor remoto (PE) como fatores para determinar o estado de uma interface IRB para um domínio de ponte ou uma instância EVPN (EVI). Usamos o status de isolamento de rede do domínio de ponte ou EVI para determinar a acessibilidade remota dos dispositivos.
Para especificar a interface L2 e os fatores de alcance remotos que o dispositivo usa para computar o estado da interface IRB, configure a interface-state declaração na [edit interfaces irb unit n] hierarquia.
Especifique uma das seguintes opções:
-
local— Use o status das interfaces L2 locais associadas:-
A interface está ativa se pelo menos uma interface L2 local estiver ativa.
-
A interface está baixa se nenhuma das interfaces L2 locais estiver ativa.
-
-
remote— Use o status de acessibilidade de dispositivo remoto (isolamento de rede) do domínio da ponte ou EVI:-
A interface está ativa se o domínio da ponte ou o EVI não estiverem em um estado de isolamento de rede.
-
A interface está desativada se o domínio da ponte ou o EVI estiverem em um estado de isolamento de rede.
-
-
local-remote— Use uma combinação do status das interfaces L2 locais e do status de acessibilidade remota:-
A interface está ativa se pelo menos uma interface L2 local estiver ativa ou o domínio da ponte não estiver em um estado de isolamento de rede.
-
A interface está em baixa se nenhuma interface L2 local estiver ativa e o domínio da ponte estiver em um estado de isolamento de rede.
-
Você também pode personalizar o número mínimo de links associados que precisam estar funcionando quando o dispositivo computa se a interface L3 está ativa:
-
local-count— Número mínimo de links L2 locais que devem estar em alta -
vtep-count— Número mínimo de links VTEP remotos que devem estar funcionando
As próximas seções mostram uma configuração de exemplo simples e como verificar essas configurações:
Configuração de amostra — parâmetros de estado da interface
Na configuração de amostra a seguir, o dispositivo usa fatores locais e remotos para determinar o estado de interface da interface IRB irb.100 em domínio de ponte (VLAN) v100:
set interfaces irb unit 100 virtual-gateway-accept-data set interfaces irb unit 100 family inet address 10.0.1.11/24 virtual-gateway-address 10.0.1.254 set interfaces irb unit 100 family inet6 address 2001:db8:192:100:1:11/112 virtual-gateway-address 2001:db8:192:100:1:254 set interfaces irb unit 100 interface-state local-remote set interfaces irb unit 100 virtual-gateway-v4-mac 40:00:10:11:11:00 set interfaces irb unit 100 virtual-gateway-v6-mac 50:00:10:11:11:00
Verificar o estado da interface IRB
Para verificar o estado da interface IRB irb.100 a partir da configuração de amostra na configuração de amostra — parâmetros de estado da interface, insira os seguintes comandos CLI:
-
Esses comandos mostram que o dispositivo determina o estado da interface IRB para o domínio de ponte (VLAN) v100 usando fatores locais e remotos (
Flags=LR). O dispositivo detectou uma condição de isolamento de rede, de modo que o estado da interfaceLinkIRB édown.user@leaf01> show bridge domain v100 Routing instance Bridge domain VLAN ID Interfaces evpnA v100 100 ae0.0 user@leaf01> show interfaces irb.100 terse Interface Admin Link Proto Local Remote irb.100 up down inet 10.0.1.11/24 10.0.1.254/24 inet6 2001:db8:192:100:1:11/112 2001:db8:192:100:1:254/112 fe80::2e6b:f500:644f:3ef0/64 multiservice user@leaf01> show l2-learning interface-state bridge-domain v100 Information for IRB interface state: Flags ( L - Local, R - Remote, LR - Local-Remote, LI - Local-interface) Interface Bridging Network Flags Hold-time Hold-time Loopback Domain Isolation Up Down Interface irb.100 v100 None LR 0 0 user@leaf01> show l2-learning interface-state bridge-domain v100 extensive Information for IRB interface state: Name: irb.100 IRB state: Down IRB Down Reason: local and vtep interface below count Routing Instance: evpnA Bridge Domain: v100 Network Isolation state: isolated Number of local Interface in UP state : 0 Number of local Interface in DOWN state : 0 Number of VTEP Interface in UP state : 0 Number of VTEP Interface in DOWN state : 0Nota:O
Network Isolationcampo nashow l2-learning interface-state bridge-domainsaída de comando mostra os nomes de quaisquer grupos de isolamento de rede que você tenha atribuído às interfaces IRB associadas ao domínio de ponte (VLAN). O campo exibeNoneuma interface se você não tiver aplicado nenhum grupo de isolamento de rede ao domínio de ponte correspondente (VLAN). Não confunda o valorNonenesse campo ao dizer que o dispositivo não detectou uma condição de isolamento da rede.Veja o estado da interface com o rastreamento de link de isolamento de rede para obter saída de amostra do
show l2-learning interface-state bridge-domaincomando que exibe um grupo de isolamento de rede nesse campo em vez de .None -
Esses comandos mostram que as interfaces VTEP do dispositivo para v100 de domínio de ponte (VLAN) estão ativas e o dispositivo não está em um estado de isolamento de rede, de modo que o estado da interface
LinkIRB estáup.user@leaf01> show bridge domain Routing instance Bridge domain VLAN ID Interfaces evpnA v100 100 ae0.0 esi.903 vtep.32769 vtep.32770 vtep.32771 vtep.32772 vtep.32773 vtep.32774 vtep.32775 vtep.32776 vtep.32777 . . . user@leaf01> show l2-learning interface-state bridge-domain v100 extensive Information for IRB interface state: Name: irb.100 IRB state: Up IRB Down Reason: none Routing Instance: evpnA Bridge Domain: v100 Network Isolation state: not-isolated Number of local Interface in UP state : 1 Number of local Interface in DOWN state : 0 Number of VTEP Interface in UP state : 9 Number of VTEP Interface in DOWN state : 0 user@leaf01> show interfaces irb.100 terse Interface Admin Link Proto Local Remote irb.100 up up inet 10.0.1.11/24 10.0.1.254/24 inet6 2001:db8:192:100:1:11/112 2001:db8:192:100:1:254/112 fe80::2e6b:f500:644f:3ef0/64 multiservice
Definir parâmetros de status de isolamento de rede usados para determinar o estado da interface IRB
Os dispositivos PE em uma malha EVPN podem considerar o status de isolamento da rede de um domínio de ponte ou um EVI para decidir se os dispositivos de borda de provedor remoto (PE) estão atualmente acessáveis.
Para personalizar os parâmetros que determinam quando um domínio de ponte ou um EVI está em um estado de isolamento de rede:
-
Definir um perfil de isolamento de rede. Para fazer isso, configure a
network-isolation group group-namedeclaração no nível de[edit protocols]hierarquia.Ao criar um grupo de isolamento de rede, você pode personalizar parâmetros como:
-
Definir tempos de espera para mudanças na condição de isolamento da rede (para cima ou para baixo):
Depois que a detecção do status de isolamento da rede foi alterada, o dispositivo atrasa o tempo de espera antes de agir sobre a mudança.
-
Rastreie o status de interfaces de uplink L3 lógicas especificadas para detectar uma mudança de status de isolamento de rede.
Para fazer isso, configure a
detection link-trackingestrofe na[edit protocols network-isolation group group-name]. Inclua o nome de uma interface L3 que você deseja rastrear. Você pode personalizar o número mínimo desses links que devem estar à altura do dispositivo para registrar o estado da interface IRB.
Nota:A estrofe da configuração
detectiondo grupo de isolamento de rede também tem umaservice-trackingestrofe. Asservice-trackingopções permitem que o dispositivo rastreie o status da interface L2 e execute uma configuraçãoservice-tracking-actionpara interfaces L2 ao detectar uma condição de isolamento do núcleo. Você só pode configurar aslink-trackingopções ou asservice-trackingopções em um determinado grupo de isolamento de rede e atribuir isso como um perfil de isolamento de rede. Você não pode configurar ambas as opções no mesmo grupo de isolamento de rede. -
-
Atribua o grupo de isolamento de rede como um perfil de isolamento de rede a um EVI, um domínio de ponte ou uma VLAN usando a
network-isolation-profile group group-namedeclaração em um desses níveis hierárquicos:-
[edit routing-instance instance-name switch-options] -
[edit routing-instances name bridge-domains name bridge-options] -
[edit routing-instances name vlans name switch-options] -
[edit switch-options] -
[edit bridge-domain name bridge-options] -
[edit vlans name switch-options]
-
As próximas seções mostram uma configuração de exemplo simples e como verificar essas configurações:
- Configuração de amostra — parâmetros de grupo de isolamento de rede
- Verificar o estado da interface com o rastreamento de enlaces de isolamento de rede
Configuração de amostra — parâmetros de grupo de isolamento de rede
A configuração da amostra a seguir define um grupo grp-v100 de isolamento de rede com a opção link-tracking e aplica esse grupo como um perfil de isolamento de rede para unir domínio (VLAN) v100. Como resultado, o dispositivo rastreia o estado da interface ge-0/0/0.0 como um fator para determinar o status de isolamento de rede do domínio de ponte (VLAN) v100:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.23.34 set protocols network-isolation group grp-v100 detection link-tracking interface ge-0/0/0.0 set routing-instances evpnA bridge-domains v100 bridge-options network-isolation-profile group grp-v100
Verificar o estado da interface com o rastreamento de enlaces de isolamento de rede
Para verificar o estado da interface IRB irb.100 a partir da configuração de amostra na configuração de amostra — parâmetros de grupo de isolamento de rede, insira os seguintes comandos CLI:
-
Use o
show l2-learning interface-statecomando para visualizar os parâmetros de detecção de isolamento de rede atribuídos às interfaces IRB no dispositivo. A saída aqui mostra que o dispositivo determina o estado da interface IRB para o domínio de ponte (VLAN) v100 usando fatores locais e remotos (Flags=LR). ONetwork Isolationcampo mostra que você aplicou o grupogrp-v100de isolamento de rede para unir domínio (VLAN) v100. Como resultado, o dispositivo usa os parâmetros para determinar o status degrp-v100isolamento da rede do v100 e do estado de irb.100.user@leaf01> show l2-learning interface-state Information for IRB interface state: Flags ( L - Local, R - Remote, LR - Local-Remote, LI - Local-interface) Interface Bridging Network Flags Hold-time Hold-time Loopback Domain Isolation Up Down Interface irb.100 v100 grp-v100 LR 0 0 -
Veja o status do enlace dependente (
ge-0/0/0.0) dalink-trackingestrofe no grupogrp-v100de isolamento e o status resultante da interface IRB. Ambos estão funcionando neste caso.user@leaf01>
show interfaces ge-0/0/0.0 terseInterface Admin Link Proto Local Remote ge-0/0/0.0 up up inet 192.168.23.34 --> 0/0 multiservice user@leaf01> show interfaces irb.100 terse Interface Admin Link Proto Local Remote irb.100 up up inet 10.0.1.11/24 10.0.1.254/24 inet6 2001:db8:192:100:1:11/112 2001:db8:192:100:1:254/112 fe80::2e6b:f500:644f:3ef0/64 multiservice